Microsoft Windows Defender ATP вилучає шпигунське програмне забезпечення для правопорядку

Microsoft Windows Defender ATP вилучає шпигунське програмне забезпечення для правопорядку

Корпорація Майкрософт оголосила про те, що її захист від Windows Defender Advanced Protection Threat Protection (ATP) є достатнім для виявлення зловмисного програмного забезпечення, створеного FinFisher. FinFisher, також відомий як FinSpy, є законним програмним забезпеченням, створено компанією FinFisher GmbH, що розташована в Німеччині. Він проданий лише урядам і використовується різними правоохоронними органами для розповсюдження шкідливих програм, призначених для різних цілей. Як і слід було очікувати, це набагато більш цілеспрямоване, індивідуальне і краще написане, ніж типове програмне забезпечення для шкідливих програм.

Корпорація Майкрософт пише, що FinFisher надає повнофункціональне користування інструкціями небажаного споживання, кодом спагетті (коду, що не має структури), декількома віртуальними машинами, багаторазовими рівнями анти-налагоджувальних та оборонних заходів та різними іншими хитрощами. Цей код навмисно розроблений, щоб ви не зрозуміли, що воно працює, і MS використовував глибоке вивчення FinFisher для розробки рішень у Windows 10 ATP. Отриманий опис - відмінне вивчення поведінки шкідливого ПЗ від першої зустрічі до інсталяції. Програмне забезпечення також призначене для виявлення того, коли воно працює в пісочниці або VM для аналізу. Microsoft пише:

Завантажувач спочатку динамічно перебудовує простий таблицю адрес імпорту (IAT), вирішуючи весь API, необхідний бібліотекам Kernel32 та NtDll. Потім він продовжує виконувати в порожній новій гілці, яка перевіряє наявність додаткових небажаних модулів всередині власного віртуального адресного простору (наприклад, модулів, введених певними рішеннями безпеки). Вона врешті-решт забирає всі потоки, що належать до цих небажаних модулів ... [Це] завантажувач створює повний IAT, читаючи чотири імпортовані бібліотеки з диска (ntdll.dll, kernel32.dll, advapi32.dll та version.dll) і переміщуючи їх у пам'ять Ця методика робить використання відладчиків та програмних точок зупинки марними. На цьому етапі завантажувач може також викликати певний API, використовуючи національні системні виклики, що є ще одним способом обійти точки затримки в API та рішеннях безпеки, що використовують гачки.
Завантажувач спочатку динамічно перебудовує простий таблицю адрес імпорту (IAT), вирішуючи весь API, необхідний бібліотекам Kernel32 та NtDll. Потім він продовжує виконувати в порожній новій гілці, яка перевіряє наявність додаткових небажаних модулів всередині власного віртуального адресного простору (наприклад, модулів, введених певними рішеннями безпеки). Вона врешті-решт забирає всі потоки, що належать до цих небажаних модулів ... [Це] завантажувач створює повний IAT, читаючи чотири імпортовані бібліотеки з диска (ntdll.dll, kernel32.dll, advapi32.dll та version.dll) і переміщуючи їх у пам'ять Ця методика робить використання відладчиків та програмних точок зупинки марними. На цьому етапі завантажувач може також викликати певний API, використовуючи національні системні виклики, що є ще одним способом обійти точки затримки в API та рішеннях безпеки, що використовують гачки.

Завантажувач спочатку динамічно перебудовує простий таблицю адрес імпорту (IAT), вирішуючи весь API, необхідний бібліотекам Kernel32 та NtDll. Потім він продовжує виконувати в порожній новій гілці, яка перевіряє наявність додаткових небажаних модулів всередині власного віртуального адресного простору (наприклад, модулів, введених певними рішеннями безпеки). Вона врешті-решт забирає всі теми, які належать до цих небажаних модулів ...

[T] він завантажувач створює повний IAT, читаючи чотири імпортовані бібліотеки з диска (ntdll.dll, kernel32.dll, advapi32.dll і version.dll) і переміщуючи їх у пам'ять. Ця методика робить використання відладчиків та програмних точок зупинки марними. На цьому етапі завантажувач може також викликати певний API, використовуючи національні системні виклики, що є ще одним способом обійти точки затримки в API та рішеннях безпеки, що використовують гачки.

Залишається бачити, чи зможе FinFisher обробити роботу, яку Microsoft зробила тут. Вся проблема є прикладом того, як безпека ПК та IoT назавжди гратимуть нагоду з чорними шапками. Це може зайняти кілька тижнів або місяців компанії з безпеки, щоб усунути недоліки безпеки або додати критичні можливості виявлення до сучасного програмного забезпечення. Тоді знову рухається Team Black, за винятком прямого повідомлення, коли вони "завершують" рух. Ми ще не знаємо, чи рішення Microsoft є досить гнучким, щоб ловити еволюційні ітерації, які можуть послабити його драгету.

І, звичайно, цей рівень захисту доступний лише для бізнесу та підприємств - ATP не закупорюється в звичайні продукти Windows. Не зовсім зрозуміло, наскільки новий або сучасний FinFisher є, дає звіт про дату шкідливого програмного забезпечення ще у 2015 році. Якщо продукт все ще швидко оновлюється, поточна розбивка може бути корисною. Якщо ні, це може мати більше академічних інтересів, ніж найсучасніший посібник із сучасних практик.

Якщо б ви 10 років тому сказали мені, що прийде 2018 рік, Microsoft відкрито обговорить, як його антивірусне програмне забезпечення було достатньо для того, щоб зловити зловмисне програмне забезпечення, розгорнуте правоохоронними органами, я вважав би, що ти жартуєш. Такі часи ми живемо.

Читати далі

Google AutoML створює моделі машинного навчання без досвіду програмування
Google AutoML створює моделі машинного навчання без досвіду програмування

Сутність Cloud AutoML полягає в тому, що майже кожен може надати каталог зображень, імпортувати теги для зображень та створити функціональну модель машинного навчання на основі цього.

Програма Apple Blocks, яка визначає порушення чистої нейтральності
Програма Apple Blocks, яка визначає порушення чистої нейтральності

Додаток називається Wehe, і він був розроблений для подальших досліджень, проведених Девідом Коффенсом в Notheastern University.

Google витягнув
Google витягнув "погані" програми Android у 2017 році швидше, ніж раніше

Google повідомляє, що в 2017 році він спричинить понад 700 тисяч "поганих" програм, і це відбулося набагато швидше, ніж будь-коли раніше.

Apple, щоб переглянути цикл розробки програмного забезпечення, прийняти повільні каденції
Apple, щоб переглянути цикл розробки програмного забезпечення, прийняти повільні каденції

Як повідомляється, компанія Apple переглядає план оптимізації iOS та визначення пріоритетів для проектів розвитку, але це, можливо, не настільки відхилення від норми, як воно з'являється.